随着越来越高的容量和种类繁多的云服务的推出,亚马逊的 AWS(Amazon Web Services)已经成为许多企业和机构的最流行选择,帮助企业在云计算提供的可扩展性和经济存储之间找到平衡。
AWS 的安全性建立在共享责任模型基础之上:亚马逊提供基础设施并保证其安全,用户则负责维护自己运行其上的应用的安全。这一模型可使用户获得对自身流量和数据的更大操控性,鼓励用户更加积极主动。然而,在迈向应用迁移进程之前,最好先看看以下几条小建议,可以有助于用户在 AWS 和内部环境中掌控安全,获得最大限度的保护。
亚马逊提供虚拟防火墙功能过滤你云网段上流过的数据流量;但 AWS 防火墙的管理方式与传统防火墙的略有不同。AWS 防火墙的中心组件是‘安全组(security group)’,基本上相当于其他防火墙厂商所说的策略,也就是规则集合。不过,安全组和传统防火墙策略有着关键区别,这一点需要充分认识到。
首先,AWS 规则中没有流量被允许或放弃的‘动作’。这是因为 AWS 的所有规则都是积极的,总是允许指定流量通过——不像传统防火墙规则。
其次,AWS 规则允许你指定流量源或目的地址——二者规则不同。对入站规则而言,要有源地址声明流量从何而来,但无需目的地址告诉它往哪儿去。出站规则正好相反:你可以指定目的地址而不是源地址。这么规定的原因是 AWS 安全组总是会为应用的实例自动设定未指定端(源或目的地址,视具体情况而定)。
在应用规则上 AWS 会赋予你很高的灵活性。一个安全组可以应用到多个实例,就像你可以将一个传统安全策略应用到多个防火墙一样。AWS 还允许你反着来:将多个安全组应用到同一个实例上,意味着这一实例从所有它关联的安全组继承规则。这是亚马逊提供的众多特性之一,允许你为特定功能或操作系统创建安全组,然后将它们混合搭配以适应业务需求。
AWS 当然会管理出站流量,但管理方式上与常规方法有些不太一样,你得留意。初始设置过程中,AWS 的用户是不会被自动引导进行出站流量设置的。默认设置所有出站流量都被允许,这一点与入站流量默认设置正好相反,入站流量默认是除非创建规则否则全部拒绝。
很明显,这是个可能导致公司数据丢失的不安全设定,因此,建议创建只允许指定出站流量的规则,保护真正关键的数据。由于 AWS 设置向导不会自动引导进行出站设置,你得手动创建并应用这些规则。
一旦你开始在产品中使用 AWS,你得记住:这些应用现在可就处于合规和内部审计的眼皮子底下了。亚马逊确实提供一些内置功能辅助合规和审计:亚马逊云监测(Amazon CloudWatch),类似实例健康监测仪和日志服务器;以及亚马逊云轨迹(Amazon CloudTrail),记录和审计你的API调用情况。但是,如果你用的是混合数据中心环境,你还需要额外的合规和审计工具。
根据你所处产业和你处理的数据类型,你的业务将受到不同的监管。比如,如果你处理的是信用卡信息,你就要受支付卡行业(PCI)监管。因此,如果你想用 AWS 云平台处理这些敏感数据,你就需要合适的第三方安全管理产品为你提供与常规防火墙相同的报告功能。
你需要从第三方解决方案中获得的最重要的东西,是对所有安全组和整个混合资产的可见性,还有类似本地基础设施能提供的对你安全环境进行全面审视和管理的分析及审计能力。
放到 AWS 环境中的所有东西的安全性都是自己的责任。充分考虑到以上几点,在你迁移到 AWS 时会对你保护数据和符合监管的要求提供帮助。